EP1936532B1

EP1936532B1 - Verschleierung von Computerprogrammcodes

Info

Publication number: EP1936532B1
Application number: EP06388071A
Authority: EP
Inventors: Johan Eker; Björn Johansson; Carl Von Platen
Original assignee: Telefonaktiebolaget LM Ericsson AB
Current assignee: Telefonaktiebolaget LM Ericsson AB
Priority date: 2006-12-21
Filing date: 2006-12-21
Publication date: 2009-07-29
Anticipated expiration: 2026-12-21
Also published as: CN101568927A; EP2107489A3; EP1936532A1; EP2107489A2; CN101568927B; WO2008074483A1; TW200841209A; ATE438151T1; DE602006008166D1; US20100251378A1; US8286251B2

Claims

Computer-implementiertes Verfahren zum Absichern eines Computerprogramms vor Manipulationen, wobei das Verfahren umfasst:
- Verarbeiten (103) einer Eingabedarstellung (101) des Computerprogramms, um einen Funktionsaufruf zu identifizieren, wobei der Funktionsaufruf dazu ausgebildet ist, zu bewirken, dass ein Datenverarbeitungssystem mit der Ausführung des Computerprogramms an einer vorbestimmten Eingangspunkt-Speicheradresse einer Funktion fortfährt, wenn die Ausführung eine aufrufenden Stelle erreicht hat, und dass es bei Beendigung der Funktion zu der aufrufenden Stelle zurückkehrt und die Ausführung des Computerprogramms ab der aufrufenden Stelle weiter fortsetzt, wenn das Computerprogramm von einem Datenverarbeitungssystem ausgeführt wird;

- Ersetzen (105) des identifizierten Funktionsaufrufs durch einen modifizierten Funktionsaufruf, wobei der modifizierte Funktionsaufruf einen algebraischen Ausdruck enthält, wobei dieser dazu ausgebildet ist, zu bewirken, dass das Datenverarbeitungssystem die Eingangspunkt-Speicheradresse berechnet, wenn das Computerprogramm von dem Datenverarbeitungssystem ausgeführt wird, wobei der algebraische Ausdruck eine Decodierfunktion zum Berechnen der Eingangspunkt-Speicheradresse aus einem Parametersatz darstellt;

- Bestimmen (115) eines entsprechenden Parameterwertes eines jeden Parameters des Parametersatzes aus einer der Decodierfunktion entsprechenden Codierfunktion;

- Erzeugen (110, 112, 115) einer ausführbaren Darstellung (116) des Computerprogramms aus der Eingabedarstellung, wobei die ausführbare Darstellung einen oder mehrere computer-ausführbare Befehle zum Bewirken, dass das Datenverarbeitungssystem die bestimmten Parameterwerte entsprechenden Parametern des Parametersatzes zuweist, enthält.
Verfahren nach Anspruch 1, wobei das Erzeugen der ausführbaren Darstellung Folgendes umfasst:
- Transformieren (110, 120) der Eingabedarstellung in eine vorläufige ausführbare Darstellung (113);

- Abändern (115) der vorläufigen ausführbaren Darstellung, sodass diese einen oder mehrere computer-ausführbare Befehle zum Bewirken, dass das Datenverarbeitungssystem die bestimmten Parameterwerte entsprechenden Parametern des Parametersatzes zuweist, enthält.
Verfahren nach Anspruch 2, wobei das Ersetzen des identifizierten Funktionsaufrufs durch einen modifizierten Funktionsaufruf ferner ein Einfügen in die Eingabedarstellung von einer oder mehreren Programmanweisungen zum Zuweisen eines entsprechenden vorläufigen Werts einem jeden der Parameter umfasst; und wobei das Abändern ein Abändern von einem oder mehreren computer-ausführbaren Befehlen gemäß den eingefügten einen oder mehreren Programmanweisungen umfasst, um zu bewirken, dass das Datenverarbeitungssystem die bestimmten Parameterwerte entsprechenden Parametern des Parametersatzes zuweist.
Verfahren nach einem der Ansprüche 1 bis 3, ferner umfassend:
Identifizierung einer Vielzahl von Funktionsaufrufen und Ersetzen der Funktionsaufrufe durch entsprechende modifizierte Funktionsaufrufe, wobei ein jeweiliger modifizierter Funktionsaufruf einer verschiedenen Decodierfunktion entspricht.
Verfahren nach einem der Ansprüche 1 bis 4, ferner umfassend:
- Bereitstellen einer erweiterten Codierfunktion, die eine viele-auf-eine Relation zwischen einer Speicheradresse und dem Parametersatz darstellt, wobei eine Mehrzahl von Parameterwertsätzen des Parametersatzes die Speicheradresse codieren;

- Einfügen von einem oder mehreren zusätzlichen Programmanweisungen, die dazu ausgebildet sind, zu bewirken, dass das Datenverarbeitungssystem einen aktuellen Parameterwertsatz des Parametersatzes von einem ersten der Vielzahl der Parameterwertsätze in einen zweiten der Vielzahl der Parameterwertsätze ändert, wenn der Programmcode von dem Datenverarbeitungssystem ausgeführt wird.
Verfahren nach Anspruch 5, wobei die eine oder die mehreren zusätzlichen Programmanweisungen einen oder mehrere Parameterzeiger auf entsprechende Speicheradressen zum Speichern des Satzes von Parameterwerten enthalten.
Ein Verfahren nach einem der Ansprüche 1 bis 6, ferner umfassend:
Einfügen von einer oder mehreren hilfsweisen Programmanweisungen, die dazu ausgebildet sind, zu bewirken, dass das Datenverarbeitungssystem einen Satz von vorübergehenden Parameterwerten dem Parametersatz zuweist; wobei der Satz vorübergehender Parameterwerte zu einem Wert der Decodierfunktion führt, der von der Eingangspunkt-Speicheradresse verschieden ist.
Verfahren nach Anspruch 7, wobei die eine oder mehreren hilfsweisen Programmanweisungen dazu ausgebildet sind, zu bewirken, dass das Datenverarbeitungssystem den Satz vorübergehender Parameterwerte dem Parametersatz als einen Satz von anfänglichen Werten zuweist.
Verfahren nach einem der Ansprüche 1 bis 8, ferner umfassend: Parsen der Eingabedarstellung, um den Funktionsaufruf zu identifizieren.
Verfahren nach einem der Ansprüche 1 bis 9, wobei die Eingabedarstellung des Computerprogramms mindestens ein Eingabequellcodemodul umfasst.
Verfahren nach einem der Ansprüche 1 bis 10, umfassend:
- Identifizieren einer Ausführungstabelle (401), die einen oder mehrere Verweise (402) auf entsprechende Eingangspunktadressen (403) enthält;

- Einfügen von einer oder mehreren entsprechenden ausführbaren Anweisungen (504) in die Eingabedarstellung zum Berechnen der Eingangspunktadressen;

- Ersetzen der einen oder mehreren Verweise durch Zeiger (502) auf entsprechende Anweisungen der eingefügten ausführbaren Anweisungen.
Verfahren nach einem der Ansprüche 1 bis 11, umfassend Verschleiern der Funktionsaufrufe mittels eines Funktionszeigers und/oder einer Ausführungstabelle.
Verfahren nach einem der Ansprüche 1 bis 12, wobei der identifizierte Funktionsaufruf einen Verweis auf einen Funktionsnamen enthält, und wobei das Ersetzen des identifizierten Funktionsaufrufs das Ersetzen des Verweises durch ausführbaren Code zum Berechnen des entsprechenden Eingangspunktadressworts umfasst.
Datenverarbeitungssystem, das dazu ausgebildet ist, die Schritte des Verfahrens nach einem der Ansprüche 1 bis 13 auszuführen.
Computerprogrammprodukt mit computer-ausführbaren Programmcodemitteln (622), die dazu ausgebildet sind, zu bewirken, dass ein Datenverarbeitungssystem (600) das Verfahren nach einem der Ansprüche 1 bis 14 ausführt, wenn die Programmcodemittel durch das Datenverarbeitungssystem ausgeführt werden.
Computerprogrammprodukt nach Anspruch 15, mit einem computer-lesbaren Medium, das darauf gespeichert die Programmcodemittel aufweist.
Computerprogrammprodukt nach Anspruch 15 oder 16, wobei das Computerprogrammprodukt ferner umfasst:
- ein Transformationsmodul zum Identifizieren eines Funktionsaufrufs in einer Eingabedarstellung eines Eingabecomputerprogramms und zum Ersetzen des identifizieren Funktionsaufrufs mit einem abgeänderten Funktionsaufruf, der eine Decodierfunktion enthält; und

- ein Nachverarbeitungsmodul zum Abändern einer ausführbaren Darstellung des Eingabecomputerprogramms, so dass es einen oder mehrere computer-ausführbare Befehle enthält, die eine der Decodierfunktion entsprechende Codierfunktion darstellen.